Role-Based Access Control (RBAC) je bezpečnostní paradigma, kdy uživatelé mají přístup ke zdrojům na základě své role ve společnosti. RBAC, pokud je implementován správně, může být účinným způsobem prosazování zásady nejmenšího privilegia.
základní princip řízení přístupu založený na rolích je jednoduchý: finanční oddělení nevidí HR data a naopak.,
Získejte Zdarma Pero Testovací Prostředí služby Active Directory EBook
při správném provedení bude RBAC pro uživatele transparentní. Přiřazení rolí se děje v zákulisí a každý uživatel má přístup k aplikacím a datům, které potřebují k práci.
v této příručce vysvětlíme, co je RBAC podrobněji, a ukážeme vám, kdy a jak můžete toto paradigma použít.,
- Výhody RBAC
- 5 Kroků k RBAC Implementace
- RBAC Příklady
- Azure RBAC
- Alternativy k RBAC
Role-Based Access Control: Základy
Většina RBAC systémy jsou založeny na aplikaci tří základních principů. Jak jsou uplatňovány v jednotlivých organizacích mohou lišit, tyto principy ale zůstávají neměnné:
- přiřazení Role: subjekt může vykonávat oprávnění pouze tehdy, pokud má subjekt vybrán, nebo bylo přiděleno roli.,
- autorizace rolí: aktivní role subjektu musí být autorizována. To znamená, že se nemohu jen přiřadit k roli. Potřebuju povolení.oprávnění
- oprávnění: subjekt může uplatnit oprávnění pouze v případě, že je oprávnění povoleno pro aktivní roli subjektu. S pravidly 1 a 2 Toto pravidlo zajišťuje, že uživatelé mohou vykonávat pouze oprávnění, pro která jsou oprávněni.
RBAC je důležitý pro kybernetickou bezpečnost, protože statistiky o narušení dat naznačují, že udělení nevhodné úrovně přístupu k zaměstnancům je hlavní příčinou ztráty dat a krádeže dat., Bez systému pro rozhodování o tom, kdo má přístup k datům, mohou být některá data vystavena.
V říjnu roku 2019, kybernetické bezpečnosti vědci Diachenko a Troia našel poklad data vystaveni a snadno přístupné veřejnosti na nezabezpečený server, který obsahoval 4 tb PII, nebo o 4 miliardy záznamy. Celkový počet jedinečných lidí, napříč všemi soubory údajů dosáhl více než 1,2 miliardy lidí, dělat to jeden z největších úniky dat z jednoho zdroje organizace v historii.
uniklá data obsahovala jména, e-mailové adresy, telefonní čísla, LinkedIn a informace o profilu Facebook., Objevený Server ElasticSearch obsahující všechny informace byl nechráněný a přístupný prostřednictvím webového prohlížeče. Žádné heslo nebo ověřování jakéhokoli druhu bylo třeba, aby přístup nebo stáhnout všechna data, protože organizace, které drží data (dva odlišné, nejmenovaný obohacování dat firmy) nebyla přijata opatření k omezení přístupu k nim.
toto je extrémní příklad:dotyčná data neměla vůbec žádné kontroly přístupu. Mohlo by se zdát, že vaše organizace by nikdy neudělala takovou chybu., V praxi je však snadné dělat chyby – zejména pokud jsou kritické informace uloženy na mnoha místech s různými systémy řízení přístupu a snadnými funkcemi sdílení koncových uživatelů.
Provádění RBAC paradigma může být obtížné, především proto, že to vyžaduje, abyste definovat – v detailu – všechny role ve vaší organizaci, a rozhodnout, které zdroje zaměstnanci v této roli by mělo být uděleno. Ve velkých organizacích s mnoha pohyblivými částmi a propojenými týmy může být i načrtnutí organizační mapy tohoto druhu významným podnikem.,
v některých případech to znamená, že rozhodnutí, která jsou základem RBAC, se mohou stát téměř „filozofickými“ otázkami.
- potřebují asistenti, kteří pracují jménem svých manažerů, stejnou úroveň přístupu?
- měl by se člen právního týmu stát součástí finanční role za účelem dočasného přístupu k podmnožině souborů?
- potřebují bezpečnostní pracovníci přístup ke všem datům, která se pokoušejí zabezpečit?
- pokud je zaměstnanec povýšen, dědí přístupová oprávnění z předchozí role?
- nebo mladí zaměstnanci potřebují více přístupu než manažeři, kterým se hlásí?,
odpovědi na tyto otázky mohou být velmi komplikované, protože se týkají základního způsobu, jakým vaše organizace funguje. A jako bezpečnostní architekt je nepravděpodobné, že byste mohli mít tento druh pan-organizačního dohledu.
z tohoto důvodu zde ve Varonis doporučujeme, abyste se nepokoušeli implementovat „čistý“ systém RBAC. Místo toho doporučujeme použít hybridní přístup, který zahrnuje principy RBAC, ale na ně se zcela nespoléhá.,
Výhody Role-Based Access Control
Na nejširší úrovni, RBAC pomáhá maximalizovat provozní účinnost, chrání vaše data před úniku nebo odcizení, snižuje admin a podporovat práci, a dělá to snazší splnit požadavky auditu.
Zatímco RBAC není perfektní, je to mnohem lepší model, než svévolně rozhoduje o tom, kdo by měl mít přístup k jakým zdrojům. Pokud máte dobře implementovaný RBAC, hackeři budou stonewalled, jakmile se pokusí dostat mimo bublinu role svého hacknutého uživatele., To může drasticky snížit dopad kompromisu účtu-zejména v případě ransomwaru.
i když je postižený uživatel v HR a má přístup k osobním identifikovatelným informacím (PII), hacker nebude schopen šifrovat nebo ukrást data finančního týmu nebo výkonného týmu.
RBAC také snižuje IT a administrativní zatížení v celé organizaci a zvyšuje produktivitu uživatelů. Nemusí spravovat personalizovaná oprávnění pro každého uživatele a pro správné uživatele je snazší se dostat ke správným datům.,
Správa nových uživatelů nebo hodnocení uživatelů může být časově náročné a obtížné, ale pokud máte RBAC, který definuje tyto role předtím, než se uživatel připojí k síti, je to oheň a zapomenout na situaci. Hosté a noví uživatelé se připojují k síti a jejich přístup je předem definován.
implementace RBAC je prokázáno, že ušetřit spoustu dolarů pro vaši společnost. RTI zveřejnila v roce 2010 zprávu „ekonomický dopad řízení přístupu založeného na rolích“, která naznačuje, že existuje značná návratnost investic do systému RBAC., Pro hypotetickou firmu, finanční služby 10 000 zaměstnanců, RTI odhaduje, že RBAC ušetří $24,000 v práci a prostoje zaměstnanců ušetří společnost 300.000 dolarů ročně. Automatizace procesu přístupu uživatele vám ušetří ještě více než to, že v něm dojde ke snížení pracovní síly.
a Konečně, mohou společnosti realizovat RBAC systémy splnit regulatorní a zákonné požadavky na zachování důvěrnosti a ochrany osobních údajů, protože manažeři a IT oddělení může spravovat efektivněji, jak data získat a využít., To je zvláště důležité pro finanční instituce a zdravotnické společnosti, které spravují citlivá data a potřebují dodržovat soukromí podle návrhu.
na konci implementace bude vaše síť mnohem bezpečnější než byla a vaše data budou mnohem bezpečnější před krádeží. A získáte další výhody zvýšené produktivity pro vaše uživatele a IT pracovníky. Pokud se nás zeptáte, není to nasnadě.,
5 Kroků k Realizaci Role-Based Access Control
následující kroky jsou požadovány k implementaci RBAC:
- Definovat zdroje a služby, které poskytují svým uživatelům (například e-mail, CRM, sdílených souborů, cloud aplikací) .
- Vytvořte mapování rolí na zdroje z kroku 1 tak, aby každá funkce měla přístup ke zdrojům potřebným k dokončení své práce.
- Vytvořte bezpečnostní skupiny, které představují každou roli.
- přiřaďte uživatelům definované role přidáním do příslušných skupin založených na rolích.,
- Použít skupiny na seznamy řízení přístupu na zdroje (např. složky, poštovní schránky, weby), které obsahují data
dobrá zpráva je, že můžete do značné míry vezměte dohady z tohoto procesu. Varonis DatAdvantage poskytuje přehled o tom, kdo data aktivně používá pravidelně a kdo ne, což může pomoci informovat o vytváření a přiřazování rolí. Můžete také určit vlastníka dat pro jakoukoli bezpečnostní skupinu(tj.,
Tato data majitele, který má více souvislostí o svá data, než TO dělá, je zodpovědný za přístup k jejich údajům v dlouhodobém horizontu, a může snadno schválit nebo zamítnout žádosti o přístup od Varonis DataPrivilege rozhraní. Varonis poskytuje také možnosti modelování, jako jsou přiřazení rolí, takže můžete vidět, co se stane, když vám zruší přístup do složky z této role, před spácháním.
po dokončení implementace je nutné udržovat systém čistý. Žádný uživatel by neměl být přidělen oprávnění mimo svou roli trvale., DataPrivilege umožňuje dočasný přístup k souborovým akciím na základě žádosti, což neporušuje první pravidlo. Bude však nutné mít zavedený proces změny, aby bylo možné podle potřeby upravit role.
a samozřejmě chcete mít pravidelný audit a monitorování všech těchto kritických zdrojů. Musíte vědět, zda se uživatel snaží získat přístup k datům mimo své přidělené místo, nebo pokud je k uživateli přidáno oprávnění mimo jejich roli.,
příklady řízení přístupu založeného na rolích
při pohledu na implementaci systému RBAC je užitečné mít základní příklad, který vás provede. Ačkoli RBAC může vypadat jako komplikovaný přístup, ve skutečnosti, narazíte RBAC v mnoha běžně používaných systémech.
snad nejviditelnějším příkladem je hierarchie sady uživatelských rolí WordPress CMS.,správa kapacit
jinými slovy, uživatel WordPress systém zajišťuje, že všichni uživatelé mají roli, která jim neumožňuje nadměrné práva, a chrání data před přístupem ty uživatele, kteří nepotřebují pro svou roli., Ačkoli WordPress se nevztahuje na tento systém jako na systém“ RBAC“, je to právě to.
Azure RBAC
Azure role-based access control (Azure RBAC) je implementace RBAC pro Azure. Azure Resource Manager umožňuje implementovat základy Azure RBAC a přizpůsobit systém vašim vlastním potřebám.,
Zde jsou některé příklady toho, co můžete dělat s Azure RBAC (zdroj):
- Umožnit jednomu uživateli spravovat virtuální stroje na předplatné a další uživatele, aby spravovat virtuální sítě
- Umožňují DBA skupiny pro správu SQL databází předplatného
- umožňuje uživateli spravovat všechny zdroje do skupiny zdrojů, jako jsou virtuální stroje, webové stránky, a podsítí
- Umožnit aplikaci pro přístup k veškeré zdroje do skupiny zdrojů
i Když Azure RBAC je populární způsob, jak pro síťové administrátory k implementaci RBAC ve své organizaci, to není jediná možnost k dispozici., Zde ve Varonis obecně doporučujeme hybridní přístup, který používá některé prvky Azure RBAC, ale začleňuje je do širší bezpečnostní strategie.
alternativy k RBAC
RBAC je jen jeden přístup ke správě přístupu pro vaše sítě a není náhradou za důkladnou a robustní bezpečnostní politiku. Vždy byste mohli používat seznamy řízení přístupu, ale ty jsou obvykle obtížné spravovat a nerozlišují se dobře s velkými prostředími.,
Atribut-Based Access Control
NIST definuje Atribut-Based Access Control vedle RBAC jako potenciální řešení pro udělení práva přístupu. Stručně řečeno, ABAC se snaží odpovídat charakteristikám o uživateli (funkce úlohy, Název úlohy) se zdroji, které uživatel potřebuje k výkonu své práce.
tento systém dosud nezískal velkou trakci kvůli výzvám a nastavení potřebným k implementaci tohoto systému v širokém měřítku. Teoreticky to zní skvěle, ale stále na něm leží velká část zátěže, kterou je třeba zvládnout.,
náš přístup
pro mnoho organizací RBAC nenabízí dostatečnou granularitu pro podporu ochrany údajů a regulačních požadavků.
například meziodvětvová data sdílená malou podmnožinou uživatelů z více obchodních skupin by měla být přístupná pouze konkrétním uživatelům v každé roli. RBAC omezuje schopnost dosáhnout tohoto výsledku, protože nemůžete udělit přístup pouze vybranému počtu lidí z více obchodních rolí. Použití skupiny založené na rolích na datový soubor by porušilo zásadu nejmenšího privilegia.,
byly přijaty četné přístupy k vyřešení tohoto problému, avšak s malým úspěchem. Ve většině případů, pokusy o práce kolem RBAC je nedostatečné rozčlenění, listy zdroj oprávnění ve stavu více než tolerantní přístup, čímž je možné udržet a recertifikaci pro dodržování předpisů.
pro data, která vyžadují podrobnější ochranu, je Naší filozofií, že správa oprávnění by měla být založena na obsahu dat a nikoli na funkční roli uživatelů vyžadujících přístup., Pro tyto složky by měly být vytvořeny bezpečnostní skupiny specifické pro Data a je třeba se vyhnout přímým oprávněním.
například servisní firma může mít citlivá zákaznická data, která by měla být přístupná pouze konkrétním jednotlivcům. Jakmile jsou identifikovány složky, které obsahují tato data, oprávnění by měla být udělena pouze jednotlivcům ve skupině specifické pro obsah. Resortním skupinám by neměla být přiřazena oprávnění ke složce.,
můžete Si vzít tento přístup ještě dále a vytvořit údajů specifických skupin na základě úrovně přístupu potřeba:
- SOX_ReadOnly
- SOX_Modify
spotřebitelé tento zákon Sarbanes-Oxley (SOX) dat může obsahovat pár vyvolených uživatelů z právní, financí a compliance týmy. Ještě méně uživatelů má potřebu upravovat data. Vytvořením skupin specifických pro zdroje snižujete složitost, usnadňujete recertifikaci a můžete mnohem snadněji zajistit nejméně privilegovaný model.,
poslední slovo
RBAC je silné paradigma pro řízení přístupu ke kritickým datům a zdrojům, a pokud je implementováno správně, může dramaticky zvýšit bezpečnost vašich systémů.
Mějte však na paměti, že RBAC není všelékem kybernetické bezpečnosti. Existuje několik metod, špatní herci se používají k získání neoprávněného přístupu, a neměli byste spoléhat pouze na preventivní kontroly, jako RBAC chránit vaše data., Detektiv ovládací prvky, jako je uživatelsky chování analytics platforma může pomoci upozornit na neobvyklý přístup, chování–i když to je povoleno pro roli–a zabránit narušení dat.